Rejestrowanie maszyn i przypisywanie uprawnień do wdrożenia lokalnego platformy Azure w wersji 23H2

Dotyczy: Azure Local, wersja 23H2

W tym artykule opisano sposób rejestrowania maszyn lokalnych platformy Azure, a następnie konfigurowania wymaganych uprawnień do wdrażania usługi Azure Local w wersji 23H2.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że zostały spełnione następujące wymagania wstępne:

• Spełnij wymagania wstępne i kompletną listę kontrolną wdrożenia.

• Przygotuj środowisko usługi Active Directory.

• Zainstaluj system operacyjny Azure Stack HCI w wersji 23H2 na każdej maszynie.

• Zarejestruj subskrypcję u wymaganych dostawców zasobów (RPs). Do zarejestrowania można użyć witryny Azure Portal lub programu Azure PowerShell. Aby zarejestrować następujące adresy RPS zasobów, musisz być właścicielem lub współautorem subskrypcji:

  • Microsoft.HybridCompute
  • Microsoft.GuestConfiguration
  • Microsoft.HybridConnectivity
  • Microsoft.AzureStackHCI

  Uwaga

  Założeniem jest to, że osoba rejestrująca subskrypcję platformy Azure u dostawców zasobów jest inną osobą niż osoba rejestrująca maszyny lokalne platformy Azure w usłudze Arc.

• Jeśli rejestrujesz maszyny jako zasoby usługi Arc, upewnij się, że masz następujące uprawnienia w grupie zasobów, w której aprowizowano maszyny:

  • Dołączanie połączonej maszyny platformy Azure
  • Administrator zasobów Azure Connected Machine

  Aby sprawdzić, czy masz te role, wykonaj następujące kroki w witrynie Azure Portal:

  1. Przejdź do subskrypcji używanej do wdrożenia lokalnego platformy Azure.
  2. Przejdź do grupy zasobów, w której planujesz zarejestrować maszyny.
  3. W okienku po lewej stronie przejdź do pozycji Kontrola dostępu (Zarządzanie dostępem i tożsamościami).
  4. W okienku po prawej stronie przejdź do przypisań ról. Sprawdź, czy masz przypisane role dołączania maszyny połączonej platformy Azure i administratora zasobów połączonej maszyny platformy Azure.

• Sprawdź zasady platformy Azure. Upewnij się, że:

  • Zasady platformy Azure nie blokują instalacji rozszerzeń.
  • Zasady platformy Azure nie blokują tworzenia niektórych typów zasobów w grupie zasobów.
  • Zasady platformy Azure nie blokują wdrażania zasobów w określonych lokalizacjach.

Rejestrowanie maszyn w usłudze Azure Arc

Ważne

Uruchom te kroki na każdej maszynie lokalnej platformy Azure, którą zamierzasz klastrować.

1. Ustaw parametry. Skrypt przyjmuje następujące parametry:

   Parametry	opis
   SubscriptionID	Identyfikator subskrypcji używanej do rejestrowania maszyn w usłudze Azure Arc.
   TenantID	Identyfikator dzierżawy używany do rejestrowania maszyn w usłudze Azure Arc. Przejdź do identyfikatora Entra firmy Microsoft i skopiuj właściwość identyfikatora dzierżawy.
   ResourceGroup	Grupa zasobów wstępnie utworzona na potrzeby rejestracji maszyn w usłudze Arc. Jeśli grupa zasobów nie istnieje, zostanie utworzona grupa zasobów.
   Region	Region platformy Azure używany do rejestracji. Zobacz Obsługiwane regiony, których można użyć.
   AccountID	Użytkownik, który rejestruje i wdraża wystąpienie.
   ProxyServer	Opcjonalny parametr. Adres serwera proxy, jeśli jest wymagany do łączności wychodzącej.
   DeviceCode	Kod urządzenia wyświetlany w konsoli https://microsoft.com/devicelogin programu i służy do logowania się na urządzeniu.

   Program PowerShell

   #Define the subscription where you want to register your machine as Arc device
   $Subscription = "YourSubscriptionID"
   
   #Define the resource group where you want to register your machine as Arc device
   $RG = "YourResourceGroupName"
   
   #Define the region to use to register your server as Arc device
   #Do not use spaces or capital letters when defining region
   $Region = "eastus"
   
   #Define the tenant you will use to register your machine as Arc device
   $Tenant = "YourTenantID"
   
   #Define the proxy address if your Azure Local deployment accesses the internet via proxy
   $ProxyServer = "http://proxyaddress:port"
   

   Wyjście

   Oto przykładowe dane wyjściowe parametrów:

   PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
   PS C:\Users\SetupUser> $RG = "myashcirg"
   PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
   PS C:\Users\SetupUser> $Region = "eastus"
   PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"
   

2. Połącz się z kontem platformy Azure i ustaw subskrypcję. Musisz otworzyć przeglądarkę na kliencie, którego używasz, aby nawiązać połączenie z maszyną i otworzyć tę stronę: https://microsoft.com/devicelogin i wprowadzić podany kod w danych wyjściowych interfejsu wiersza polecenia platformy Azure w celu uwierzytelnienia. Pobierz token dostępu i identyfikator konta na potrzeby rejestracji.

   Program PowerShell

   #Connect to your Azure account and Subscription
   Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   
   #Get the Access Token for the registration
   $ARMtoken = (Get-AzAccessToken).Token
   
   #Get the Account ID for the registration
   $id = (Get-AzContext).Account.Id   
   

   Wyjście

   Oto przykładowe dane wyjściowe ustawiania subskrypcji i uwierzytelniania:

   PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
   WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
   to authenticate.
   
   Account               SubscriptionName      TenantId                Environment
   -------               ----------------      --------                -----------
   guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud
   
   PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
   PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id
   

3. Na koniec uruchom skrypt rejestracji usługi Arc. Wykonanie skryptu może potrwać kilka minut.

   Program PowerShell

   #Invoke the registration script. Use a supported region.
   Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id -Proxy $ProxyServer
   

   Jeśli uzyskujesz dostęp do Internetu za pośrednictwem serwera proxy, musisz przekazać -proxy parametr i podać serwer proxy tak, jak http://<Proxy server FQDN or IP address>:Port podczas uruchamiania skryptu.

   Aby uzyskać listę obsługiwanych regionów świadczenia usługi Azure, zobacz Wymagania dotyczące platformy Azure.

   Wyjście

   Oto przykładowe dane wyjściowe pomyślnej rejestracji maszyn:

   PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
   >>
   Starting AzStackHci ArcIntegration Initialization
   Constructing node config using ARM Access Token
   Waiting for bootstrap to complete: InProgress
   =========SNIPPED=========SNIPPED=============
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: InProgress
   Waiting for bootstrap to complete: Succeeded
   
   Log location: C:\Users\Administrator\.AzStackHci\AzStackHciArcIntegration.log
   Version Response
   ------- --------
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
   Successfully triggered Arc boostrap support log collection. Waiting for 600 seconds to complete.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 0.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 1.
   Arc bootstrap support log collection status is InProgress. Sleep for 10 seconds.
   Waiting for Arc bootstrap support logs to complete on '', retry count: 2.
   Arc boostrap support log collection completed successfully.
   
   PS C:\Users\Administrator>
   

4. Po pomyślnym zakończeniu działania skryptu na wszystkich maszynach sprawdź, czy:

   1. Maszyny są zarejestrowane w usłudze Arc. Przejdź do witryny Azure Portal, a następnie przejdź do grupy zasobów skojarzonej z rejestracją. Maszyny są wyświetlane w określonej grupie zasobów jako Zasoby typu Maszyna — Azure Arc .

      

   2. Obowiązkowe rozszerzenia lokalne platformy Azure są instalowane na maszynach. W grupie zasobów wybierz zarejestrowaną maszynę. Przejdź do pozycji Rozszerzenia. Obowiązkowe rozszerzenia są wyświetlane w okienku po prawej stronie.

      

Przypisywanie wymaganych uprawnień do wdrożenia

W tej sekcji opisano sposób przypisywania uprawnień platformy Azure do wdrożenia z witryny Azure Portal.

1. W witrynie Azure Portal przejdź do subskrypcji używanej do rejestrowania maszyn. W okienku po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami). W okienku po prawej stronie wybierz pozycję + Dodaj , a następnie z listy rozwijanej wybierz pozycję Dodaj przypisanie roli.

   

2. Przejdź przez karty i przypisz następujące uprawnienia roli do użytkownika, który wdraża wystąpienie:

   • Azure Stack HCI Administrator
   • Czytelnik

3. W witrynie Azure Portal przejdź do grupy zasobów używanej do rejestrowania maszyn w ramach subskrypcji. W okienku po lewej stronie wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami). W okienku po prawej stronie wybierz pozycję + Dodaj , a następnie z listy rozwijanej wybierz pozycję Dodaj przypisanie roli.

   

4. Przejdź przez karty i przypisz następujące uprawnienia do użytkownika, który wdraża wystąpienie:

   • Administrator dostępu do danych usługi Key Vault: to uprawnienie jest wymagane do zarządzania uprawnieniami płaszczyzny danych do magazynu kluczy używanego do wdrożenia.
   • Oficer wpisów tajnych usługi Key Vault: to uprawnienie jest wymagane do odczytywania i zapisywania wpisów tajnych w magazynie kluczy używanym do wdrożenia.
   • Współautor usługi Key Vault: to uprawnienie jest wymagane do utworzenia magazynu kluczy używanego do wdrożenia.
   • Współautor konta magazynu: to uprawnienie jest wymagane do utworzenia konta magazynu używanego do wdrożenia.

5. W okienku po prawej stronie przejdź do pozycji Przypisania ról. Sprawdź, czy użytkownik wdrożenia ma wszystkie skonfigurowane role.

6. W witrynie Azure Portal przejdź do pozycji Microsoft Entra Roles and Administrators (Role i administratorzy usługi Microsoft Entra) i przypisz uprawnienie roli Administrator aplikacji w chmurze na poziomie dzierżawy firmy Microsoft Entra.

   

   Uwaga

   Uprawnienia administratora aplikacji w chmurze są tymczasowo potrzebne do utworzenia jednostki usługi. Po wdrożeniu można usunąć to uprawnienie.

Następne kroki

Po skonfigurowaniu pierwszej maszyny w wystąpieniu możesz przystąpić do wdrażania przy użyciu witryny Azure Portal:

• Wdrażanie przy użyciu witryny Azure Portal.